1. ✅ Apprenez une METHODE qui marche pour votre SEO ! Formation à distance avec Olivier Duffez et Fabien Facériès + aide pour prise en charge du financement
    Rejeter la notice

Tentative d'injection sql de googlebot ?

Discussion dans 'Demandes d'avis et de conseils sur vos sites' créé par hyadex, 14 Décembre 2009.

  1. hyadex
    hyadex WRInaute impliqué
    Inscrit:
    23 Janvier 2005
    Messages:
    577
    J'aime reçus:
    0
    Bonjour,

    Il y a quelques minutes j'ai eu, il me semble, une tentative d'injection SQL sur l'un de mes sites :
    Code:
     /lapage.php?print=1&pageid=100790\'%20and%201=2%20union%20select%20CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c),CONCAT(0x27,0x7c,0x5f,0x7c)%20and%20\'1\'=\'1
    
    Ce code a été exécute environ 50 fois avec + ou - de CONCAT dans l'url.

    Le problème, c'est que l'IP de "la personne" ayant executé ce code est : 66.249.71.162
    Code:
    Analyse (66.249.71.162):
    
    Adresse IP:	66.249.71.162
    Hostname:	crawl-66-249-71-162.googlebot.com
    Pays:	United States (us)
    Ville:	Mountain View, CA
    Longitude:	-122.0838511
    Latitude:	37.3860517
    
    Deux remarques :
    - Les pages du type lapage.php?print=1&pageid=...etc. ne sont pas accessibles sur le site et inconnues de googlebot. Toutes les URL sont réécrites.
    - Est-il possible que la personne ce soit cachée derrière cette IP pour passer inapercu ? ou est-ce réellement googlebot ?

    Si vous avez déjà vu ce cas, ou si vous avez une explication, je suis preneur :)

    Merci d'avance
     
  2. honolulu
    honolulu WRInaute impliqué
    Inscrit:
    8 Novembre 2005
    Messages:
    755
    J'aime reçus:
    0
    malheureusement, oui...
     
  3. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Je pense qu'il vaut être un peu plus précis que ça... Il est quand même difficile de se cacher derrière une autre IP pour une requête TCP "complète" comme celle-ci (par opposition à balancer de l'UDP ou des TCP SYN par exemple). Donc à mon avis, c'est bel et bien Googlebot qui fait la requête, mais soit:
    - c'est Google qui essaie de faire le ménage sur le web en trouvant les sites susceptibles à certaines attaques, pour prévenir son webmaster (comme il semblerait qu'ils ne fassent quand ils trouvent du "malware" sur les sites crawlés)
    - quelqu'un lui a "soufflé" ces URLS et attend de voir le résultat dans l'index pour voir s'il y a un trou et s'y engouffrer ensuite.
    - ou alors Google s'est fait infiltrer par des gens pas très nets!

    La requête elle-même n'a rien de dangereux, elle ne fait que tester la vulnérabilité aux attaques SQL (d'ailleurs, tu as testé pour voir ce que ça donne?).

    Tu utilises un CMS ou autre soft "standard" qui a des vulnérabilités connues?

    Jacques.
     
  4. honolulu
    honolulu WRInaute impliqué
    Inscrit:
    8 Novembre 2005
    Messages:
    755
    J'aime reçus:
    0
    mettons ça sur la fatigue de la fin de journée :oops:
    c'est ce à quoi je pensais. dans tous les cas, j'imagine que google en soi a autre chose à faire que d'aller tester un à un les failles des sites...
     
  5. hyadex
    hyadex WRInaute impliqué
    Inscrit:
    23 Janvier 2005
    Messages:
    577
    J'aime reçus:
    0
    Merci pour vos réponse.

    J'ai bien entendu testé la requête et pas de problèmes :). Mais il faut toujours resté vigilant !

    Il s'agit en effet d'un soft, mais qui n'est plus mis à jour par l'éditeur et qui plus est n'a plus grand chose à voir avec l'original tellement je l'ai modifié. A l'époque 2 failles avaient été trouvées, toutes deux corrigées. Je fais en plus une veille régulière pour voir si de nouvelles failles sont trouvées.

    Vos deux réflexions sont plausibles, soit google développe un nouveau service pour vérifier la vulnérabilité aux attaques SQL soit un petit malin a envoyé des liens pour tester...
     
  6. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Le truc qui cloche, c'est que le test pour voir si l'injection ne me semble pas super top facile à tester par une requête Google: il faut chercher "'|_|", ce qui n'est quand même pas très facile dans Google, si?

    L'autre solution est de chercher le résultat de la requête dans le cache de Google, mais ça me semble horriblement compliqué. Honnêtement, je crois qu'il est quand même nettement plus facile de trouver un botnet qui va faire ça que d'utiliser Google pour ça.

    L'autre option c'est que quelqu'un essaie d'utiliser les mécanismes de défense de certains sites (qui utilisent un IDS couplé un firewall pour bloquer automatiquement certaines adresses IP par exemple) pour faire une forme de DoS sur le Googlebot (une DoI: "Denial of Indexing" attack). Comme ça le site visé serait désindexé de Google.

    Bref, c'est quand même très bizarre. Je pense qu'il serait intéressant que tu tentes de contacter Google sur le sujet pour voir ce qu'ils en disent. Au minimum ils devraient éviter que Googlebot relaie ce genre d'attaques.

    Jacques.
     
  7. honolulu
    honolulu WRInaute impliqué
    Inscrit:
    8 Novembre 2005
    Messages:
    755
    J'aime reçus:
    0
  8. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    es-tu sur que ce soit gg bot et non le crawleur d'adsense, car si on teste une url avec une page inconnue de adsense, le robot va venir ensuite parcourir ta page et réutiliser ainsi la requête de recherche de failles
     
Chargement...
Similar Threads - Tentative injection sql Forum Date
Blocage IP selon tentatives d'URL URL Rewriting et .htaccess 21 Décembre 2016
Conseil pour seconde tentative de sortie de pénalité Référencement Google 19 Juillet 2016
Tentative d'intrusion sous wordpress Administration d'un site Web 27 Octobre 2015
Tentative de hack ? un aide svp ! Administration d'un site Web 5 Juin 2012
Tentative de hack ? un aide svp ! Développement d'un site Web ou d'une appli mobile 5 Juin 2012
Tentative de piratage ^^ Administration d'un site Web 12 Avril 2011
Echec navrant du référencement après plusieurs tentatives d'amélioration Débuter en référencement 19 Janvier 2011
tentative de hacking ou pas ? Administration d'un site Web 10 Janvier 2011
Tentatives d'arnaques Droit du web (juridique, fiscalité...) 11 Octobre 2010
Url ressemblant à une tentative de hack Développement d'un site Web ou d'une appli mobile 21 Septembre 2010